核心技术保密工作管理自查报告

核心技术保密工作管理自查报告根据国家保密局《科学技术保密规定》以及上级单位关于开展核心技术保密工作专项检查的通知要求，我单位围绕新一代高端工业母机核心技术研发全流程，组织开展了核心技术保密工作全面自查，本次自查覆盖所有核心技术研发岗、涉密载体、涉密场所及涉密信息系统，重点排查了核心技术定密管理、人员管理、载体管理、防护管理等环节的风险隐患，现将自查情况报告如下：本次自查由单位保密委员会牵头，成立了由分管保密工作的副总经理任组长，保密办、技术中心、人力资源部、信息中心、安全管理部五部门业务骨干组成的自查工作组，提前制定了《核心技术保密自查工作清单》，明确了12大类46项具体排查内容，按照“一项技术一台账、一个岗位一核查”的要求，对我单位目前在研及已归档的14项国家级核心技术攻关项目的全部核心技术成果进行了拉网式排查，排查覆盖核心技术岗位人员126人，涉密纸质载体2173份，涉密电子载体892件，涉密研发场所3处，涉密信息系统2套，做到了不留死角、不漏隐患。一直以来，我单位将核心技术保密作为维护国家安全、保障企业核心竞争力的重点工作，建立了“主要领导负总责、分管领导具体抓、保密办牵头落实、业务部门各负其责”的管理体系，对核心技术成果实行分级分类保密管理，严格按照《科学技术保密规定》划定密级和知悉范围，落实了项目保密责任人制度，每个核心技术项目的第一负责人为该项目保密工作第一责任人，对项目全流程保密管理负责，所有接触核心技术的人员都签订了《核心技术保密承诺书》，明确了保密责任和义务。在人员管理方面，对核心技术岗位实行清单化管理，明确了核心技术岗的准入条件，新入职核心技术岗人员必须经过保密审查和培训合格才能上岗，在职人员每年至少参加2次保密教育培训，出国出境必须经过保密审批，离职人员按规定执行脱密期管理，签订竞业限制协议。在载体管理方面，涉密纸质载体统一存放在保密室的密码保险柜，实行双人双锁管理，领用归还全程登记，涉密电子数据全部存储在物理隔离的涉密服务器，采用对称加密技术保护，移动存储介质全部使用经保密部门认证的加密介质，严格管控带出。在场所和网络管理方面，核心研发场所实行门禁授权管理，只有经审批的人员才能进入，涉密网络与互联网实行物理隔离，禁用所有无线连接功能，定期开展漏洞扫描和风险评估。本次核心技术分级排查具体情况如下：密级核心技术名称涉及岗位数量本次排查内容排查结果绝密级五轴联动加工精度实时补偿算法12人员接触权限、存储介质加密、场所管控、知悉范围控制知悉范围管控、存储加密、场所管控均符合要求，1名项目核心离职人员存在脱密期工作变更未报备问题绝密级大功率电主轴拓扑优化设计方案9同上全部符合要求，无违规问题机密级整机结构轻量化设计图纸27同上1份原始试验记录违规带出涉密场所，其余符合要求机密级核心控制系统嵌入式软件源码18同上源码存储符合要求，3台开发电脑存在私人手机连接充电违规问题机密级切削工艺参数试验数据库22同上16份2018年前的老旧试验数据光盘未按密级存放，其余符合要求秘密级关键零部件加工公差标准38同上全部符合要求秘密级新产品测试检验规程21同上全部符合要求秘密级核心部件表面处理工艺规范19同上全部符合要求结合本次全流程排查，我们梳理出当前核心技术保密管理存在的四类具体问题：一是部分核心技术人员保密意识松懈，侥幸心理突出。部分研发人员长期投入项目攻关，对保密要求的重视程度随项目推进逐渐下降，存在“重进度、轻保密”的普遍倾向。本次排查126名核心技术岗人员的开发电脑操作日志发现，3名研发人员为了方便充电，将私人手机连接到涉密开发电脑的USB接口，虽然并未传输任何数据，但已经违反了“私人电子设备不得接入涉密信息系统”的规定，存在被植入木马远程窃取数据的风险。还有某在研项目组，一次跨部门研讨过程中，因为单位官方涉密会议系统临时故障，项目负责人为了不耽误进度，使用个人微信的共享文档功能分享了项目研讨提纲，虽然提纲未涉及核心参数，但该行为本身已经违反了涉密内容不得通过互联网社交工具传输的规定，暴露出部分人员在紧急情况下优先保进度、忽略保密要求的惯性问题。另外在脱密期管理方面，梳理近3年离职的17名核心技术岗人员发现，2名2022年离职的人员，在脱密期内更换工作单位后，未按照规定提前向单位保密办报备，本次开展自查才联系到本人核实，虽然两名人员入职的单位都不属于竞业限制范围内的竞品企业，但也暴露出我们对脱密期人员的动态跟踪不到位，日常管理存在盲区。二是涉密载体管理存在细节漏洞，制度执行不到位。本次排查涉密载体过程中，发现一份机密级的整机结构疲劳试验原始记录，因为项目赶国家级阶段性验收，项目负责人违反规定将纸质记录带出涉密研发场所，带回家中加班整理数据，虽然并未发生丢失或者泄密，但是该行为已经违反了涉密载体不得带出涉密场所的规定，一旦发生丢失或者被窃密，后果不堪设想。另外在涉密移动载体管理方面，我们共有46个经授权的加密U盘，梳理领用归还台账的时候，发现其中一个U盘在2023年3月的一次领用后，归还登记漏签，项目组相关人员也记不清具体领用归还时间，经过技术核查U盘内的数据、调阅监控确认没有外传，但是也暴露出我们台账管理不规范，全流程追溯存在断点的问题。还有部分2018年之前完成的预研项目的核心试验数据，存储在普通光盘中，因为项目归档的时候没有及时调整密级存放，一直放在单位普通档案柜中，没有按照密级要求存入保密室，也存在被盗或者丢失的安全隐患。三是技术防护体系存在短板，部分防护措施失效。我单位核心研发场所的门禁系统建成于2017年，目前还是单一刷卡验证，本次排查出入记录发现，有2次外协测试人员进入核心区，是本单位研发人员刷自己的卡带入，没有提前办理外来人员准入审批，也没有安排全程陪同，虽然是工作需要，但是也暴露出老旧门禁系统无法管控非授权人员进入的漏洞。另外，核心研发区域的公共通道监控，有2个摄像头因为线路老化故障已经停用12天，因为之前负责维保的人员离职，新的对接人没有及时跟进维修，一直没有修复，形成了监控盲区。还有按照保密管理要求，核心涉密场所每半年要开展一次反窃听反偷拍检测，我们上一次检测是2022年10月，至今已经超过11个月，没有按要求开展定期检测，存在被技术窃密的风险。四是定密管理常态化落实不到位，存在不定密迟定密问题。按照规定，我们每年要对所有核心技术成果的密级进行一次复核，根据技术发展情况和公开情况调整密级，2022年因为我们承担的国家级攻关项目进入冲刺阶段，全单位精力都放在项目攻关上，就没有组织开展年度密级复核，导致2项2022年下半年产生的新核心技术成果，一直没有完成正式定密流程，只是临时按秘密级管理，存在定密不准确、密级划定不符合要求的问题。另外，我单位的定密责任人是由技术中心负责人兼职担任，没有接受过系统的定密专业培训，对一些交叉领域的新技术定密拿不准，担心定密错了承担责任，所以就拖着不定，导致定密滞后。深入分析问题产生的根源，主要存在四个方面的原因：一是思想认识存在偏差，保密和业务的统筹不到位。部分管理层和研发人员都存在误区，认为保密是保密部门的事，研发部门只管出成果，只要不主动往外说就不会泄密，对隐形的技术窃密风险认识不足，尤其是在项目赶进度的时候，往往会主动突破保密制度的要求，管理层有时候也会为了保项目进度，对一些小违规行为网开一面，没有及时纠正，导致小隐患演变成大风险。二是常态化监督机制不健全，责任追究力度不够。我单位之前的保密检查一般都是每年一次上级检查之前才集中开展自查，平时的日常抽查很少，很难及时发现日常工作中的违规行为，而且之前发现违规问题大多是口头批评，没有和个人绩效考核、职称评定、项目奖励挂钩，违规成本低，导致大家对保密要求不重视，没有形成敬畏之心。三是保密投入不足，防护设备更新不及时。我单位的保密投入主要集中在核心服务器和保密室建设，对一些细节的防护设备更新投入不够，比如门禁系统、监控设备老化之后没有及时升级，维保跟不上，导致部分防护措施失效，跟不上当前窃密技术的发展变化。四是保密管理队伍专业化能力不足，我单位保密办一共3个人，都是兼职，主要精力应付日常的涉密文件收发和上级检查对接，没有专门的时间和精力去做常态化的核心技术保密管理，专业能力也不足，对定密、技术防护等专业工作把握不准。针对本次自查发现的问题，我单位已经制定了可落地的整改方案，明确了整改责任人和整改时限，具体整改措施如下：一是立行立改排查出的问题，建立整改销号台账。针对本次自查梳理出的12项具体问题，全部纳入整改台账，整改完成一项销号一项，目前已经完成8项问题的整改：对违规连接私人手机、违规使用微信传输信息、违规带出涉密载体的相关人员，已经完成了批评教育，在全单位核心技术岗人员中做了通报，扣发了相关人员当月10%的绩效，起到了警示作用；对脱密期未报备的两名离职人员，已经完成了信息补录，重新签订了脱密期保密告知书，明确了定期报备要求；对漏登的涉密U盘，已经完成了全流程溯源核查，确认没有数据外传后补全了台账，对存放不规范的老旧光盘，已经全部整理消毒后存入保密室按密级管理；对故障的监控设备，已经联系了保密部门认证的维保单位，承诺3个工作日内完成修复，计划在下月中旬组织全区域的反窃听反偷拍检测，确保全覆盖无盲区。剩余4项涉及系统升级、制度修订的问题，预计在两个月内完成整改。二是完善核心技术人员全生命周期保密管理。重新梳理了核心技术岗位清单，更新了所有人员的保密档案，严格落实核心技术岗准入审查，新入职人员必须经过背景审查、保密培训、闭卷考试合格才能进入核心岗；在职人员每季度组织一次保密教育培训，培训内容结合最新的窃密案例和保密要求，每次培训后组织闭卷考试，考试不合格的暂停核心岗工作，重新培训合格才能上岗，每年组织一次核心技术人员保密承诺重申，强化责任意识；严格出国出境审批，核心技术人员出国必须经过保密办审查、单位主要领导审批，回国后必须做保密访谈，核查随身电子设备；强化脱密期动态管理，脱密期内要求人员每三个月主动报备一次工作单位、住址和联系方式，保密办每半年做一次回访核查，脱密期未满不允许出境，不允许到竞业限制单位任职，离职时必须清退所有涉密载体，签订离岗保密承诺书，明确终身保密责任。三是规范涉密载体全流程管理。重新修订了《核心技术涉密载体管理细则》，明确所有涉密纸质载体必须统一存放在保密室密码保险柜，实行双人双锁管理，领用必须经过项目负责人签字、保密办审批，登记领用时间、用途、归还时限，严禁任何涉密纸质载体带出涉密场所，确因工作需要带出的必须经单位主要领导审批，安排专人全程陪同，返回后及时核查；涉密电子载体全部使用经国家保密局认证的加密移动存储介质，实行一人一码、一人一盘管理，进出涉密区域必须经过安检，严禁私人移动存储介质、带存储功能的智能设备带入核心研发区，所有涉密电子数据统一存储在涉密服务器，采用三级加密保护，项目结束后10个工作日内完成归档，不允许私自存储在个人办公电脑；我们计划在三季度完成涉密载体RFID智能管理系统升级，对所有授权涉密载体加装感应芯片，进出涉密区域自动核验，未授权介质进出自动报警，实现全流程可追溯。四是升级核心技术保密技术防护体系。计划在今年年底前完成核心研发场所门禁系统升级，改成“人脸+刷卡+预约审批”三重验证，外来人员进入必须提前24小时在系统预约，经保密办审批后，由本单位授权人员全程陪同才能进入，系统自动记录出入时间和活动轨迹，实现全程可追溯；涉密信息系统每季度开展一次漏洞扫描，每半年开展一次全面的保密检测，所有涉密计算机禁用蓝牙、无线网卡和非授权USB接口，严禁任何无线设备接入涉密网络；核心涉密场所每半年开展一次反窃听反偷拍检测，建立检测台账，留存检测报告，及时发现处置窃密隐患。五是压实保密管理责任，完善常态化监督机制。重新明确了核心技术保密责任制，单位主要领导为第一责任人，分管领导为直接责任人，项目负责人为项目保密责任人，层层签订责任状，把核心技术保密工作纳入部门和个人年度绩效考核，占比不低于10%，发生违规问题直接扣除相应考核分数，影响年终奖和职称评定；完善定密管理，每年第一季度组织开展上一年度核心技术密级复核，新的核心技术成果产生后15个工作日内必须完成定密，定密责任人每年参加上级保密部门组织的专业培训，提高定密准确性，拿不准的及时邀请上级保密部门专家指导，避免迟定密不定密；建立常态化抽查机制，保密办每个月抽查不少于10%的核心技术岗位，每季度实现核心技术岗、涉密载体、涉密场所全覆盖抽查，发现问题及时整改，严肃追责，把隐患消除在萌芽状